Abo
  • Services:
Anzeige
Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen.
Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen. (Bild: GIT Logo / Jason Long/CC-BY 3.0)

Git und Co: Bösartige Code-Repositories können Client angreifen

Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen.
Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen. (Bild: GIT Logo / Jason Long/CC-BY 3.0)

Mittels spezieller SSH-URLs kann ein Angreifer Code in den Client-Tools von Quellcode-Verwaltungssystemen ausführen. Der Fehler betrifft praktisch alle verbreiteten Quellcode-Verwaltungssysteme wie Git, Subversion, Mercurial und CVS.

Ein Mitarbeiter der Firma Recurity Labs hat eine Sicherheitslücke gefunden, die in ähnlicher Weise alle gängigen Quellcode-Verwaltungssysteme betrifft. Ursprünglich entdeckt wurde der Bug in einer Erweiterung namens Git LFS, die dazu dient, große Dateien in Git-Repositories zu verwalten. Doch wie sich herausstellt, sind auch Git selbst sowie dessen Konkurrenten Subversion und Mercurial betroffen. Auch das uralte CVS hat einen ähnlichen Bug.

Anzeige

Repositories, auf die über SSH zugegriffen wird, können in Git mit einer URL der Form ssh:// referenziert werden. Wenn man in diese URL Kommandozeilenoptionen mit übergibt, werden diese ungefiltert an SSH weitergegeben. Eine solche URL könnte dann etwa so aussehen: ssh://-oProxyCommand=gnome-calculator

ProxyCommand in URL erlaubt Codeausführung

In diesem Fall wird die Option ProxyCommand von OpenSSH gesetzt. Diese Option ist eigentlich dazu gedacht, die Ausgabe von Befehlen über eine SSH-Verbindung zu tunneln. Sie kann hier aber mißbraucht werden, um Code auszuführen.

Relevant ist dieses Szenario, wenn ein Nutzer Code von einem nicht vertrauenswürdigen Server auscheckt, der den Angriff durchführt. Im Fall von Git kann der Server etwa in das Repository ein Git-Submodul mit einer solchen bösartigen URL einfügen und damit Code auf dem Client ausführen.

Git, Subversion und Mercurial haben koordiniert neue Versionen veröffentlicht, die die entsprechenden Lücken beheben. Diese haben die IDs CVE-2017-1000117 (Git), CVE-2017-9800 (Subversion) und CVE-2017-1000116 (Mercurial).

Auf der Mailingliste oss-security wies ein Nutzer darauf hin, dass CVS von dem Problem ebenfalls betroffen ist. CVS war lange Zeit ein sehr beliebtes Quellcode-Verwaltungstool, inzwischen wird es jedoch nur noch von wenigen Projekten genutzt. Die letzte Version wurde 2005 veröffentlicht. Mit einem offiziellen Fix ist also eher nicht zu rechnen.


eye home zur Startseite
RandomCitizen 14. Aug 2017

Das kenne ich gar nicht. Wo kann man -- eingeben und was macht das?

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Zweckverband Kommunale Informationsverarbeitung Baden-Franke, Heilbronn, Heidelberg, Freiburg, Karlsruhe
  2. Daimler AG, Hamburg
  3. T-Systems International GmbH, Darmstadt
  4. operational services GmbH & Co. KG, verschiedene Standorte, deutschlandweit


Anzeige
Spiele-Angebote
  1. ab 59,00€ (Vorbesteller-Preisgarantie)
  2. 119,99€ (Vorbesteller-Preisgarantie)
  3. 7,49€

Folgen Sie uns
       


  1. Apple iPhone 5s

    Hacker veröffentlicht Secure-Enclave-Key für alte iPhones

  2. Forum

    Reddit bietet native Unterstützung von Videos

  3. Biomimetik

    Drohne landet kontrolliert an senkrechter Wand

  4. Schifffahrt

    Yara Birkeland wird der erste autonome E-Frachter

  5. Erste Tests

    Autonome Rollstühle in Krankenhäusern und Flughäfen erprobt

  6. Firmware

    PS4 verbessert Verwaltung von Familien und Freunden

  7. Galaxy Note 4

    Samsung trägt keine Verantwortung für überhitzte Akkus

  8. Nach Anschlag in Charlottesville

    Nazis raus - aber nur aus PR-Gründen

  9. Hilton Digital Key im Kurztest

    Wenn das iPhone die Hoteltür öffnet

  10. Smartphone

    Essential Phone kommt mit zwei Monaten Verspätung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Re: Intelligenter als 1/2 Tonne Akkus mit sich...

    My1 | 12:40

  2. Re: Umweltschützer kritisieren...

    AllDayPiano | 12:39

  3. Re: Terroranschlag gegen linke Demonstranten

    Libertybell | 12:38

  4. Re: Alt-Right = Nazi

    DeathMD | 12:37

  5. Re: And die Golem Kommentar Experten mal wieder...

    AllDayPiano | 12:36


  1. 12:55

  2. 12:37

  3. 12:30

  4. 12:00

  5. 11:17

  6. 10:44

  7. 10:00

  8. 09:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel